Container-Image-Scans für Softwarezerlegung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die Apps ITOM-Transparenz, Muster für Discovery und Service-Mapping und Kubernetes Visibility Agent sind in Aqua Trivy integriert, um Daten zu Container-Images und Betriebssystempaketen zu sammeln. Sie können Ihre Kontrolle über die Containerbereitstellung erhöhen, indem Sie Einblick in die Containerkomponenten erhalten.

    Containerimage-Scans für Softwarezerlegungsdiagramm

    Vorteile des Scannens von Bildern

    Durch das Scannen Ihrer Container erhalten Sie Einblick in die Inhalte von Kubernetes - oder Docker -Containern oder Betriebssystempaketen. Das Scannen von Bildern kann Sie auf verschiedene Arten unterstützen.
    • Es hilft Ihnen, in Containern installierte Software für regulatorische und Compliance-Anwendungsfälle zu identifizieren.
    • Es hilft Ihnen, Unternehmensrichtlinien einzuhalten, z. B. die Verwendung von Golden Images, veraltete Software, obligatorische Bezeichnungen oder Konfigurationsrichtlinien​.
    • Es hilft Ihnen auch bei der Verwaltung von lizenzierter Software, die in Containern ausgeführt wird​.
    • Sie können den Servicekontext auch mithilfe von Tags und Service Mesh abrufen, um deren Auswirkungen auf Ihre Organisation zu verstehen.

    Anwendungsfälle für das Scannen von Bildern mit ITOM-Transparenz

    Sie können zwei Apps ITOM-Transparenz verwenden, um Container-Images zu scannen: Muster für Discovery und Service-Mapping und Kubernetes Transparenz-Agent. Muster sind ein Funktionssatz, der von Discovery, Cloud-Discoveryund Service-Mappingverwendet wird. Kubernetes Transparenz-Agent ist eine Funktion von Agent Client Collector. Während Kubernetes Visibility Agent (früher bekannt als CNO-V) besser für Kubernetes und dynamische containerisierte Arbeitsauslastungen geeignet ist, eignet sich die musterbasierte Discovery besser für Nicht-Kubernetes-Container Docker.

    Anwendungsfall Nr. 1
    Sobald eine Anwendung in Container-Images paketiert wurde, kann ein Sicherheitsexperte das Basis-Image sowie das endgültige Image auf Schwachstellen scannen und Betriebssystempakete, Softwareabhängigkeiten und Anwendungsdatensätze identifizieren. Dies gilt speziell für den containerisierten MSSQL-Server.
    Tabelle : 1. Transparenzmethoden für Anwendungsfall Nr. 1
    Transparenzmethoden Methodeneigenschaften Was erkannt wird
    Muster für Discovery und Service-Mapping und Aqua Trivy:
    • Am besten geeignet für selbst gehostete oder Cloud-Bereitstellungen Kubernetes mit Zugriff auf Bearer-Token und Anmeldeinformationen.
    • Unterstützt das Scannen von öffentlichen und selbstgehosteten Repository-Images.
    • Musterbasierte Discovery ohne Cloud-Discovery:
      • Verwendet ein Bearer-Token.
      • Manuell erstellter Discovery-Zeitplan Kubernetes pro Cluster.
    • Musterbasierte Discovery mit Cloud-Discovery:
      • Kein Bearer-Token erforderlich.
      • Verwendet Cloud-Anmeldeinformationen.
      • Automatische Erstellung des Discovery-Zeitplans Kubernetes.
    • Weitere Informationen zum Scannen von Bildern mit Aqua Trivyfinden Sie unter Container-Images scannen.

    Erkannt mit Muster für Discovery und Service-Mapping:

    • Kubernetes Cluster
    • Kubernetes Services
    • Kubernetes Topologie
    • Docker Container und Bilder
    • Kubernetes einschließlich OpenShift
    • Namespace
    • Bezeichnungen und Tags
    • Software in Containern
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    • Docker-Muster sammelt Daten zu bestimmten Objekten in einer Docker-Engine, die auf einem Linux-Host ausgeführt wird
    Weitere Informationen finden Sie unter:
    Kubernetes Transparenz-Agent und Aqua Trivy:
    • Am besten geeignet für die Bereitstellung durch native Cloud-App-Teams.
    • Optionale Möglichkeit zur Überwachung von Kubernetes mit AIOps.
    • Für Cloud-Umgebungen wird nur AWS ECR (öffentlich und privat) unterstützt.

    Für die aufKubernetes dem Transparenz-Agent basierende Discovery müssen keine Anmeldeinformationen eingerichtet werden, und auch MID-Serverist nicht erforderlich. Der Zugriff erfolgt über ServiceAccount/ClusterRole. Die Installation erfolgt über die YAML-Datei „Helm Chart“ oder Kubernetes. Die Discovery wird nahezu in Echtzeit ausgeführt.

    Verwenden Sie den Kubernetes Explorer, um SBOMherunterzuladen.

    Erkannt mit Kubernetes Visibility Agent

    • Kubernetes Namespaces
    • Knoten und Pods
    • Bereitstellungen
    • Statefulsets
    • Daemonsets
    • Replikatesätze
    • Aufträge
    • Cron-Jobs
    • Services
    • Docker Container
    • Docker-Bild
    • Container-Repository
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    Anwendungsfall Nr. 2
    Ein Compliance-Beauftragter kann einen SBOMgenerieren, um eine detaillierte Liste der Abhängigkeiten des Containerimages zu erhalten und um sicherzustellen, dass die Software die Branchenvorschriften erfüllt.
    Tabelle : 2. Transparenzmethoden für Anwendungsfall Nr. 2
    Transparenzmethode Methodeneigenschaften
    Kubernetes -Muster oder Docker -Muster SBOM Die Erstellung von ist Teil des Container-Scans.
    Kubernetes Transparenz-Agent Die ErstellungSBOM von ist auch Teil des Container-Scans, , aber die Verwendung von ACC eignet sich am besten für Organisationen, die Flexibilität benötigen, um sowohl eine vollständige als auch eine kontinuierliche Discovery durchzuführen.
    Anwendungsfall Nr. 3

    Ein Techniker hat einen Fehler in einem anwenderdefinierten Image gefunden und muss alle Kubernetes -Pods finden, die mit diesem Image ausgeführt werden.

    Tabelle : 3. Transparenzmethoden für Anwendungsfall Nr. 3
    Transparenzmethode Methodeneigenschaften Was erkannt wird
    Kubernetespattern Aqua Trivy Containerscans sind nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren.
    • Kubernetes Cluster
    • Kubernetes Container
    • Kubernetes Services
    • Bezeichnungen
    • Pods
    • Bilder
    • Tags
    Kubernetes -Muster mit Cloud-Discovery Aqua Trivy Containerscans sind nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Alle oben genannten sowie Account- oder Regionsdetails
    Anwendungsfall Nr. 4
    Ein -Entwickler findet einen Fehler in einem anwenderdefinierten Image und muss alle Docker -Container (nicht Kubernetes) finden, die mit diesem Image ausgeführt werden.
    Transparenzmethode Methodeneigenschaften Was erkannt wurde
    Horizontal-Discovery von VM mit Docker (MusterDocker ) Aqua Trivy Containerscans sind nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Siehe: Docker-Virtualisierung

    Bilderscans mit Muster für Discovery und Service-Mapping

    Die MusterKubernetes und Docker sind in das Tool Aqua Trivy integriert und führen regelmäßige Aufgaben aus, um Container-Images und Betriebssystempakete in festen Intervallen von 10 Images pro Minute zu erkennen. Während des Scanvorgangs zeigt das Muster den Scanstatus an. Das -Muster erkennt BS-Pakete, die zu einem Image gehören. Dann werden die Image-Befehlsattribute wie die CI-Klasse gesucht. Basierend auf den Befehlsattributen erstellt das Muster Anwendungsdatensätze. Darüber hinaus verwendet das Muster angereicherte Skripts, um den Anwendungsdatensätzen Details hinzuzufügen. Danach ordnet das Muster die Beziehungen zwischen den BS-Paketen und den Containern zu.

    Ein Teil der Daten wird in Tabellen CMDB und ein Teil in Transformationstabellen ( temporäre Nicht-CMDB-Tabellen) gefüllt. Die Transformationstabellen werden mit dem Muster installiert. Die Informationen, die Sie durch das Scannen erhalten, umfassen beispielsweise die Ursprungsregistrierung, den Softwarenamen und die Version.